Dawno temu pisałem o zabezpieczeniach w moBILECIE. Zainspirowany mailem, którego dziś dostałem (tak, są ludzie, którzy dają radę rozszyfrować toto, zaczynam wierzyć w ludzkość), postanowiłem sprawdzić, co się zmieniło od tamtego czasu.
Zmieniło się naprawdę wiele. Większość informacji zawartych w tamtym wpisie jest nieaktualna, ale działa sposób z przenoszeniem do innego miejsca (na kartę SD) w celu dostania się do plików .jar, .jad oraz .rms. Nie ma już prostego sposobu na pobranie pliku .jar, za to szybka kombinacja ze ścieżką do pliku .jad w Nokia-Update w połączeniu z zawartością MIDlet-Jar-URL pozwala pobrać coś, co plikiem .jar nie jest, ale wygląda jak archiwum zip ze źródłem. Nie jestem javowcem, ale każdym razie masa plików .class oraz .png z grafikami z programu. Plus jakieś nieczytelne pliki .conf. Brak plików z czytelnym źródłem.
Tamten plik .rms zawierał mało danych, w tym jest ich znaczenie więcej. W tym jakaś historia płatności oraz coś, co wygląda na historię skasowanych biletów (plus jakieś zakodowane dane – być może sumy kontrolne biletów). Prawdopodobnie wynika to z faktu, że tamten był świeżo po instalacji, a ten trochę używany jest – jutro zainstaluję od nowa. Hasło nadal jest przechowywane otwartym tekstem, choć mniej rzuca się w oczy (raczej za sprawą ilości innych danych).
W każdym razie człowiek, który wysłał maila i zainspirował do przyjrzenia się bliżej moBILETowi dostanie jutro odpowiedź i to, o co prosił…
Opublikowaliśmy artykuł opisujący rejestrację oraz zasadę działania obu aplikacji (moBILET oraz SkyCash): lifehacker.com.pl/pl_lh/?p=324
W przyszłym tygodniu wznowimy testy aplikacji moBILET, ale gdyby Pan chciał nam w tym pomóc i podzielić się swoim doświadczeniem z programem, prosimy o kontakt.
Niespecjalnie mam do dodania coś poza tym, co już napisałem (a o moBILECIE pisałem kilka razy). No może tylko to, że nie tylko w telefonie hasło jest przechowywane otwartym tekstem – po stronie serwera jest dokładnie tak samo. Łatwo sprawdzić, bo odsyłają je w ramach przypomnienia.